GMX-Adresse verschickt mails in meinem Namen! Habe ich einen Trojaner?
 

Hi erstmal an alle. Ich bin neu hier und kenne mich leider überhaupt nicht mit dem Thema Viren etc. aus (eigentlich auch nicht wirklich mit Computern...). Als ich heute ein von mir selten genutztes e-mail Konto überprüft habe, hatte ich eine Antwortnachricht von einem Freund auf eine e-mail, die ich nicht geschrieben hatte. Dabei handelte es sich offensichtlich um Spam, der von meiner e-mail Adresse verschickt wurde. Zudem hatte ich mehrere e-mails, die mir sagten, dass weitere Spam mails nicht an die Adressaten zugestellt werden konnten. In anderen Foren habe ich gelesen, dass letztes Jahr (ca 07.2012) viele GMX-Konten geknackt wurden, allerdings war die auch mit der Anzeige vieler Fehlerhafter Logins verbunden. Das war bei mir nicht der Fall. Das ist der Header der ursprünglichen mail:

--- The header of the original message is following. ---

Received: from mailout-de.gmx.net ([10.1.76.31]) by mrigmx.server.lan
(mrigmx001) with ESMTP (Nemesis) id 0LfDle-1UnH1I2vBw-00oo9W for
<xxx@gmx.de>; Fri, 25 Jan 2013 21:43:32 +0100
Received: (qmail 8683 invoked by uid 0); 25 Jan 2013 20:43:32 -0000
Received: from 41.225.63.255 by www012.gmx.net with HTTP;
Fri, 25 Jan 2013 21:43:31 +0100 (CET)
Content-Type: text/plain; charset="utf-8"
Date: Fri, 25 Jan 2013 21:43:31 +0100
From: "xxx xxx" <xxx@gmx.de>
Message-ID: <20130125204331.282980@gmx.net>
MIME-Version: 1.0
To: xxx@gmx.de
X-Authenticated: #31487051
X-Flags: 0001
X-Mailer: WWW-Mail 6100 (Global Message Exchange)
X-Priority: 3
X-Provags-ID: V01U2FsdGVkX19aH4EtLjNaAziY7McQXRhVZ5ZCv3BDezItddibut
af6QvqoLJtO/tIGyH0bLa+w+Jk9zDbrpKlNg==
Content-Transfer-Encoding: 8bit
X-GMX-UID: JItwce4PeSEqWioXi3UhrOp+IGRvb0Aj


Die Namen hab ich mal durch xxx ersetzt.
Ich hab leider keine Ahnung, was ich damit anfangen soll. :confused: Habe ich einen Trojaner auf meinem Computer? Mein Passwort habe ich ntürlich sofort geändert. Ich habe jetzt mal eine vollständige Untersuchung von Kaspersky gestartet, die dauert aber leider noch ca 20 Stunden. Ist das normal?
Sorry für die vielen Fragen. Nur leider bin ich sehr verunsichert. Wurde mein Passwort geknackt, oder habe ich einen Trojaner? Und sind meine anderen Passwörter jetzt auch gefährdet? Z.B. Paypal, ebay... Die sind allerdings etwas komplizierter
Viele Dank für eure Hilfe
Sophie

Hallo und :hallo:

Hast du noch weitere Logs (mit Funden)? Malwarebytes und/oder andere Virenscanner?
Ich frage deswegen nach => http://www.trojaner-board.de/125889-...tml#post941520

Bitte keine neuen Virenscans machen sondern erst nur schon vorhandene Logs posten!

Hallo Cosinus,
Vielen Dank für deine Antwort! Ich habe jetzt Malwarebytes installiert und durchlaufen lassen. Hier ist das Log File
2 schädliche Dateien wurden gefunden, soweit ich das erkennen konnte. Nur mehr kann ich leider nicht damit anfangen. Vielen lieben Dank nochmal

Hast du

"Bitte keine neuen Virenscans machen sondern erst nur schon vorhandene Logs posten!"

nicht gelesen oder nicht verstanden? :wtf:

Hallo Cosinus,
doch gelesen hatte ich es schon und eigentlich auch verstanden. Ich hatte den Scan nur schon gemacht (nach Anweisung des Forum, vielleicht hatte ich das missverstanden). Und da es der einzige war den ich hatte hab ich ihn einfach mal hochgeladen :-(.
War das schlimm?
LG

Oh sry, dann hab ich das falsch verstanden.
Hast du noch weitere Logs mit Funden?

Wenn ich meinen Post lese muss ich sagen, dass ich mich auch ziemlich missverständlich ausgedrückt habe. :pfeiff:
Nein leider nicht. Ich habe zwar Kaspersky laufen lassen (auch nur die schnelle Untersuchung, die andere hab ich irgendwann abgebrochen weil es zu lange gedauert hat), nur leider weiß ich nicht, wo ich da das Lg file finde. Kaspersky findet allerdings auch keine Bedrohungen. Sollte ich noch weitere Programme runterladen und durchlaufen lassen?
Viele Grüße
Sophie
ps mein Internet läuft jetzt auch wieder besser.

Bevor wir uns an die Arbeit machen, möchte ich dich bitten, folgende Punkte vollständig und aufmerksam zu lesen.

• Lies dir meine Anleitungen, die ich im Laufe dieses Strangs hier posten werde, aufmerksam durch. Frag umgehend nach, wenn dir irgendetwas unklar sein sollte, bevor du anfängst meine Anleitungen umzusetzen.
  
  
• Solltest du bei einem Schritt Probleme haben, stoppe dort und beschreib mir das Problem so gut du kannst. Manchmal erfordert ein Schritt den vorhergehenden.
  
  
• Bitte nur Scans durchführen zu denen du von einem Helfer aufgefordert wurdest! Installiere / Deinstalliere keine Software ohne Aufforderung!
  
  
• Poste die Logfiles direkt in deinen Thread (bitte in CODE-Tags) und nicht als Anhang, ausser du wurdest dazu aufgefordert. Logs in Anhängen erschweren mir das Auswerten!
  
  
• Beachte bitte auch => Löschen von Logfiles und andere Anfragen

Note:
Sollte ich drei Tage nichts von mir hören lassen, so melde dich bitte in diesem Strang => Erinnerung an meinem Thread.
Nervige "Wann geht es weiter" Nachrichten enden mit Schließung deines Themas. Auch ich habe ein Leben abseits des Trojaner-Boards.


Erstmal eine Kontrolle mit OTL bitte:

• Doppelklick auf die OTL.exe
• Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
• Setze oben mittig den Haken bei Scanne alle Benutzer
• Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
• Unter Extra Registry, wähle bitte Use SafeList
• Klicke nun auf Run Scan links oben
• Wenn der Scan beendet wurde werden 2 Logfiles erstellt
• Poste die Logfiles hier in CODE-Tags in den Thread.

Hallo Cosinus,
ich hab OTL durchlaufen lassen. Hier sind die Lof Files
und das zweite

So das sind die beiden Log Files. Was mir aufgefallen ist, ist das heute um ca 14 Uhr irgendwas an meinem Laptop passiert ist. Zu dieser Zeit war ich aber nicht zu Hause und der Laptop war aus. :eek: Ich weiß nur leider nicht, was das zu bedeuten hat. Oder kann es einfach sein, dass mein Laptop eine andere Uhrzeit eingestellt hat. Die Uhrzeit die er mir auf dem Desktop anzeigt ist aber die normale Uhrzeit.
Liebe Grüße

P.S. noch eine kleine Ergänzung: Wahrscheinlich ist es total unwichtig, aber ich schreib es trotzdem mal. Nicht, dass ich was falsch gemacht habe: In der Anleitung steht, dass Vista Nutzer OTL mit Rechtsklick als Administrator starten sollen. Das hatte ich nicht zur Auswahl. Dafür hat ein Doppelklick wie für alle anderen Windows Versionen vorgegeben funktioniert.

Malwarebytes Anti-Rootkit http://img.trojaner-board.de/malware...otkit/logo.png

Downloade dir bitte Malwarebytes Anti-Rootkit und speichere es auf deinem Desktop.

• Entpacke das Archiv auf deinem Desktop.
• Im neu erstellten Ordner starte bitte die mbar.exe.
• Folge den Anweisungen auf deinem Bildschirm und erlaube dem Tool, dein System zu scannen.
• Klicke auf den CleanUp Button und erlaube den Neustart.
• Während dem Neustart wird MBAR die gefundenen Objekte entfernen, also bleib geduldig.
• Nach dem Neustart starte die mbar.exe erneut.
• Sollte nochmal was gefunden werden, wiederhole den CleanUp Prozess.

Das Tool wird im erstellten Ordner eine Logfile ( mbar-log-<Jahr-Monat-Tag>.txt ) erzeugen. Bitte poste diese hier.

Starte keine andere Datei in diesem Ordner ohne Anweisung eines Helfers

Hi, ich wollte gerade die mbar.exe starten. Leider habe ich eine Fehlermeldung bekommen, nachdem ich die Ausführung zugelassen habe:
Probable Rootkit activity detected
Registry Value "AppInit_Dlls", which may be caused by Rootkit activity.
Note: Press "No" Button if you're not sure. If the tool crashes or terminates unexpectedly during a system scan, restart the tool and press "Yes" should tis message appear again.

Do you want to remove this value and restart the tool? :confused:
Ich hab leider keine Ahnung, was ich hier drücken soll. Wäre total lieb, wenn du mir das noch sagen könntest. :dankeschoen:
Lg Sophie

Drücke bitte auf NEIN - sowie es da steht, wenn man sich unsicher sein sollte immer NEIN drücken!

Ok hab nein gedrückt. Leider habe ich sofort danach diese Meldung erhalten:
Your Version has been expired
Your Version of Malwarebytes Anti-Rootkit BETA has been outdated. Please download a newer Verision here: Malwarebytes : Malwarebytes Anti-Rootkit
Would you like to download a newer Version now?
Ich hab das Programm allerdings genau nach Anweisung auf der von euch angegebenen Seite heruntergeladen. Soll ich es einfach nochmal probieren?
Ich muss jetzt leider nochmal kurz in eine Vorlesung gehen und mache dann heute Abend weiter. Viele Dank nochmal für deine Hilfe. Finde ich echt super!!

Hallo Cosinus,
danke erstmal für das Programm. Es hat nichts gefunden und ein clean up war daher nicht nötig.
Hier das Log File
Heißt das jetzt, dass mein Computer clean ist?
Viele Grüße und einen schönen Feierabend noch
Sophie

1. aswMBR

Downloade dir bitte aswMBR.exe und speichere die Datei auf deinem Desktop.

Hinweis: Bitte den Virenscanner abstellen bevor du aswMBR ausführst, denn v.a. Avira meldet darin oft einen Fehlalarm!

• Starte die aswMBR.exe Vista und Win7 User aswMBR per Rechtsklick "als Administrator ausführen"
• Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von AVAST! dein System scannen willst. Beantworte diese Frage bitte mit Ja. (Sollte deine Firewall fragen, bitte den Zugriff auf das Internet zulassen) Der Download der Definitionen kann je nach Verbindung eine Weile dauern.
• Klicke auf Scan.
• Warte bitte bis Scan finished successfully im DOS Fenster steht.
• Drücke auf Save Log und speichere diese auf dem Desktop.

Poste mir die aswMBR.txt in deiner nächsten Antwort. Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte es erneut nicht klappen teile mir das bitte mit.

Noch ein Hinweis: Sollte aswMBR abstürzen und es kommt eine Meldung wie "aswMBR.exe funktioniert nicht mehr, dann mach Folgendes:
Starte aswMBR neu, wähle unten links im Drop-Down-Menü (unten links im Fenster von aswMBR) bei "AV scan" (none) aus und klick nochmal auf den Scan-Button.


2. TDSS-Killer

Download TDSS-Killer auf Desktop siehe => http://www.trojaner-board.de/82358-t...entfernen.html

Hinweis: Bitte den Virenscanner abstellen bevor du den TDSS-Killer ausführst, denn v.a. Avira meldet im TDSS-Tool oft einen Fehalalrm!

Das Tool so einstellen wie unten im Bild angegeben - klick auf change parameters und setze die Haken wie im folgenden Screenshot abgebildet,
Dann auf Start Scan klicken und wenn es durch ist auf den Button Report klicken um das Log anzuzeigen. Dieses bitte komplett posten.

Wenn du das Log nicht findest oder den Inhalt kopieren und in dein Posting übertragen kannst, dann schau bitte direkt auf deiner Windows-Systempartition ( meistens Laufwerk C: ) nach, da speichert der TDSS-Killer seine Logs.

Hinweis: Bitte nichts voreilig mit dem TDSS-Killer löschen! Falls Objekte vom TDSS-Killer bemängelt werden, alle mit der Aktion "skip" behandeln und hier nur das Log posten!

http://saved.im/mtg4nzy0ywy5/settings_2012-09-04.png

Hey noch eine mal wieder ganz dumme Frage meinerseits. Ich soll den Virenscanner abstellen, den ich generell verwende und nicht den der neuen Programme, die du mir gegeben hast, oder? :confused:

Es sollten jegliche im Hintergrund laufende Wächter abgestellt werden

Hallo Cosinus,
tut mir Leid, dass ich mich so lange nicht gemeldet habe. War leider krank. So jetzt die beiden neuen Logfiles:
und das zweite:
ich hoffe das passt alles so.
Lg Sophie

Ok, sieht soweit gut aus. Mach bitte noch ein Log mit GMER und poste es